Критические дыры в прошивке миллионов устройств открывают статус суперюзера

Критические дыры в прошивке миллионов устройств открывают статус суперюзера

Около двух лет назад злоумышленники взломали Gigabyte и стащили более 112 ГБ данных, включая важнейшую информацию о партнёрах техногиганта, участвующих в цепочке поставок (например, Intel и AMD). Теперь эксперты предупреждают о критических уязвимостях нулевого дня, которые могла раскрыть утечка.

Бреши присутствуют в прошивке, которую компания AMI производит для микроконтроллеров BMC (Baseboard Management Controller). Как известно, эти небольшие устройства, впаянные в материнские платы на серверах, позволяют облачным центрам упрощать удалённое управление масштабными парками компьютеров.

С их помощью администраторы могут переустанавливать операционные системы, инсталлировать и деинсталлировать приложения и контролировать другие аспекты компьютера даже в выключенном состоянии.

Специалисты компании Eclypsium изучили прошивку AMI, которая утекла в ходе киберинцидента 2021 года, и нашли в ней неизвестные ранее уязвимости. Эти бреши может использовать как локальный, так и удалённый злоумышленник, у которого есть доступ к интерфейсу Redfish.

В результате условный атакующий может выполнить вредоносный код на каждом сервере в центре обработки данных. К счастью, AMI вчера выпустила (PDF) обновления, устраняющие описанные Eclypsium уязвимости.

Производитель рекомендует не пренебрегать оперативной установкой патча, поскольку злоумышленники могут воспользоваться дырами для получения статуса суперпользователя и установки шифровальщиков или шпионских программ.

В настоящее время уязвимостям уже присвоили идентификаторы:

  • CVE-2023-34329 — возможность обхода аутентификации с помощью заголовков HTTP. Получила 9,9 балла из 10.
  • CVE-2023-34330 — возможность инъекции кода с помощью Dynamic Redfish Extension. 8,2 балла.

В прошлом месяце Gigabyte выпустила обновление прошивки, устраняющее бэкдор в материнках.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вариант шифровальщика DJVU маскируется под крякнутый софт

Семейство программ-вымогателей, известное под именем DJVU, теперь распространяется под видом взломанного софта. Специалисты Cybereason назвали новые образцы вредоноса «Xaro».

В отчёте исследователи отмечают, что обнаруженный семпл добавляет пострадавшим файлам расширение .xaro. Операторы шифровальщика предлагают расшифровать файлы за выкуп.

Этот вариант DJVU отличается тем, что вместе с ним на заражённом хосте присутствует также набор вредоносных загрузчиков и похищающих данные троянов.

DJVU представляет собой одну из вариаций программы-вымогателя STOP. Как правило, DJVU проникает в системы под видом легитимных служб или приложений и часто тащит за собой пейлоад SmokeLoader.

Это, кстати, одна из важнейших составляющих атак DJVU — установка дополнительных вредоносов. Среди них нередко встречаются инфостилеры вроде RedLine и Vidar.

В недавних атаках, на которые обратили внимание эксперты Cybereason, Xaro распространялся в виде архива и размещался на сайтах, предлагающих взломанные программы.

При открытии такого архива происходил запуск бинарника, инсталлирующего в систему читалку PDF-файлов — CutePDF. На деле же это PPI-сервис (pay-per-install) PrivateLoader, ранее фигурировавший в атаках RisePro.

PrivateLoader устанавливает соединение с командным сервером (C2) и вытаскивает оттуда целый набор разных зловредов (помимо дропа самого Xaro).

 

Попав в систему, вымогатель шифрует файлы и предлагает жертве заплатить 980 долларов за ключ и дешифратор.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru